Atualizem suas mídias de instalação do Windows 10 e 11

Marcos FRM · 21 de julho de 2023

Para enfrentar o malware BlackLotus, acontecerá, no início do ano que vem (previsão é janeiro de 2024), uma revogação em massa de bootloaders comprometidos do Windows.

https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d

https://uefi.org/sites/default/files/resources/dbx_release_info.pdf

• Boot Managers from Windows 8 to Windows 10, version 1507: revoked by DBX entries
• Boot Managers from Windows 10, version 1507 to Windows 10, version 1607: revoked by hash by SKU SiPolicy
• Boot Managers from Windows 10, version 1703 to today: revoked by version number by SKU SiPolicy

A tal Code Integrity Boot Policy (SKUSiPolicy.p7b) funciona mais ou menos como o Secure Boot Advanced Targeting (SBAT) do Shim:

https://github.com/rhboot/shim/blob/main/SBAT.md

Aqui tem uma longa discussão sobre os detalhes técnicos:

https://github.com/pbatard/rufus/issues/2244

Pelo que entendi, se o arquivo SKUSiPolicy.p7b estiver presente, na partição EFI, ao lado do bootmgfw.efi em EFI\Microsoft\Boot, o bootmgfw (desde o 10 1507) criará duas variáveis "Boot Services" (SkuSiPolicyUpdateSigners e SkuSiPolicyVersion), que desaparecem quando o kernel chama ExitBootServices(). Ou seja, podem ser manipuladas apenas no ambiente pré-sistema operacional. A presença dessas variáveis faz com que o bootmgfw bloqueie a si próprio caso esteja listado em SKUSiPolicy.p7b. Caso o arquivo SKUSiPolicy.p7b seja removido, bootmgfw abortará a inicialização[*]. Não está claro para mim se a criação das variáveis é automática estando o arquivo presente ou se algo mais é necessário.

[*] Exceto que há bugs no bootmgfw entre as versões 10 1903 e 10 20H2, que permitem-no iniciar mesmo com as variáveis presentes e SKUSiPolicy.p7b ausente.

O Windows Update, no ano que vem, colocará o arquivo SKUSiPolicy.p7b na partição EFI para ativar essa parte, talvez fazendo algo mais para criar as tais variáveis e efetivamente ativar o bloqueio. A segunda parte é o bloqueio no BIOS UEFI. DBX será atualizado pelo Windows ou pelos fabricantes de hardware com atualizações de BIOS... quem chegar primeiro.

Aplica-se a máquinas em UEFI com Secure Boot ativo. Com Secure Boot desativado ou instalações Legacy/CSM, não tem impacto. Para sistemas já instalados, supõe-se que o Windows Update fará o que precisa ser feito automaticamente.

No momento em que as revogações forem aplicadas, apenas ISOs atualizados do Windows 10 e 11 iniciarão: no mínimo versões de maio de 2023. Neste momento, são disponibilizados oficialmente pela Microsoft em https://www.microsoft.com/pt-br/software-download os seguintes arquivos (com nomes diferentes):

pt-br_windows_10_consumer_editions_version_22h2_updated_may_2023_x64_dvd_5995e9f3.iso
pt-br_windows_10_consumer_editions_version_22h2_updated_may_2023_x86_dvd_6af9700e.iso
pt-br_windows_11_consumer_editions_version_22h2_updated_may_2023_x64_dvd_2bfcd786.iso

Assim não seremos pegos de surpresa!

Oswaldo Cruz · 30 de outubro de 2023

olá!

Como se pega esse o malware BlackLotus? Depende da interação do usuário ou é por meio de alguma vulnerabilidade? Ele resiste a formatação?

Marcos FRM · 31 de outubro de 2023

É um malware famoso por ter sido o primeiro a quebrar o Secure Boot (injetando código malicioso no meio do caminho na inicialização) usando falhas no bootloader do Windows para tal. A correção já existe, só que é complicado implementá-la sem fazer sistemas desatualizados (mesmo limpos) pararem de iniciar.

Infecta rodando executáveis maliciosos. Análise detalhada da ESET:

https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/